Bundesamt für Sicherheit in der Informationstechnik

M 2.555 Entwicklung eines Authentisierungskonzeptes für Anwendungen

Verantwortlich für Initiierung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Fachverantwortliche, IT-Sicherheitsbeauftragter, Leiter IT

Im Zuge der Konzeption des Einsatzes einer neuen Anwendung sollte geklärt werden, wie sich Benutzer vor dem Zugriff auf die mit der Anwendung verarbeiteten Daten authentisieren. Im Authentisierungskonzept ist zu klären, ob die Anwendung überhaupt über Authentisierungsmechanismen verfügen soll (bei Bürokommunikationssoftware ist dies z. B. unüblich, da die Berechtigung auf Ebene der verarbeiteten Dokumente geregelt wird). Ist dies vorgesehen, ist zu klären, ob die Anwendung über eine eigenständige Benutzerverwaltung verfügt oder ob die Authentisierung über einen zentralen Verzeichnisdienst (siehe Baustein B 5.15 Allgemeiner Verzeichnisdienst ) erfolgen soll. Kann ein Verzeichnisdienst genutzt werden, sollte geklärt werden, ob ein Single-Sign-On (SSO) vorgesehen ist.

Grundsätzlich sollte die Anbindung einer selbst entwickelten Authentisierung an einen Verzeichnisdienst oder SSO-Dienst vorgezogen werden. Ist dies nicht möglich, sollte in jedem Fall sichergestellt werden, dass Authentisierungsinformationen (Credentials, Kennwörter etc. ) verdeckt eingegeben werden können und nicht ungesichert ( d. h. unverschlüsselt) auf Datenträgern wie Festplatten gespeichert oder über Kommunikationsnetze übertragen werden (siehe M 2.11 Regelung des Passwortgebrauchs ).

Weitere, im Konzept behandelte Aspekte können sein:

  • Vorgaben für ein Login-Banner: Beispielsweise ist es sinnvoll, bei einer Anmeldung den letzten Anmeldezeitpunkt und Nutzungshinweise anzuzeigen. Andererseits sollten Login-Banner nicht zu viele Informationen enthalten, vor allem keine, die Angreifern Ansatzpunkte liefern könnten, wie z. B. Netzadressen oder Art und Version der eingesetzten Software.
  • Behandlung paralleler Sitzungen eines Benutzers in der Anwendung (wenn ja, wie viele sind erlaubt)
  • Absicherung der Authentisierungsinformationen: Es ist festzulegen, wie die Speicherung und Übermittlung der Authentisierungsinformationen kryptographisch abgesichert wird.
  • Zeitgesteuerte Zwangstrennung bei Untätigkeit des Benutzers sowie eine geeignete Information (Hinweisfenster) bei vollzogener automatischer Trennung und Abmeldung

Außerdem sollte die vorgesehene Art und Stärke der Authentisierungsmechanismen beschrieben werden. Hierbei sind insbesondere die in M 4.133 Geeignete Auswahl von Authentikationsmechanismen genannten Kriterien zu berücksichtigen:

  • Art und Kombination der eingesetzten Techniken bzw. Faktoren zur Authentisierung (Wissen, Besitz, biometrische Merkmale)
  • Stärke der eingesetzten Faktoren (beim Faktor Wissen siehe auch M 2.11 Regelung des Passwortgebrauchs )

Prüffragen:

  • Wurden die Anforderungen an Funktion und Sicherheit der Authentisierung geeignet umgesetzt?

  • Ist die Speicherung und Übermittlung von Authentisierungsinformationen kryptographisch ausreichend abgesichert?

Stand: 14. EL Stand 2014